近日，亞信安全發(fā)現(xiàn)一波針對(duì)性攻擊/鎖定目標(biāo)攻擊(Targeted attack )的詐騙活動(dòng)，攻擊活動(dòng)由一封郵件開(kāi)始，偽冒某公司的高級(jí)管理人員寄給其它管理人員(例：財(cái)務(wù)部經(jīng)理)。與一般詐騙攻擊或是網(wǎng)絡(luò)釣魚(Phishing)郵件不同的是，這封郵件沒(méi)有任何的附件或是網(wǎng)址鏈接，但其郵件頭已遭到修改，導(dǎo)致收件人回復(fù)之后會(huì)把郵件寄給攻擊者。若不經(jīng)仔細(xì)檢查，很難發(fā)現(xiàn)隱藏在其中的陷阱。亞信安全在此提醒廣大用戶和公眾，請(qǐng)?jiān)诨貜?fù)郵件前務(wù)必確認(rèn)郵件的真實(shí)性，謹(jǐn)慎點(diǎn)擊來(lái)自偽裝高管的詐騙郵件，以防范新型針對(duì)性攻擊襲來(lái)。

[[155074]]

根據(jù)亞信安全云安全智能防護(hù)網(wǎng)絡(luò)所搜集到的信息，僅僅在九月份，就有至少40家公司被攻擊。

技術(shù)細(xì)節(jié)與解決方案

1. “From”與“To”使用相同的域名，使他看起來(lái)像是一封內(nèi)部郵件，例：CompanyX.com寄給CompanyX.com。

2. “From”與“Reply-To”的域名不同，例：”From”是CompanyX.com，而“Reply-To”是類似gmail.com或其他外部域名。

3. 目前發(fā)現(xiàn)“Workspace Webmail”及“Roundcube Webmail”在這類攻擊中常被使用。

4. Email容量不大，不容易被懷疑。

5. Email內(nèi)常包含某些特定字詞像是“wire”或“transfer”。

6. “Reply-to”欄位常包含“executive”或“ceo”或“chief”等關(guān)鍵字。

詐騙攻擊郵件樣本

回復(fù)郵件時(shí)，收件人為外部域名郵箱

有鑒于該類型詐騙郵件嚴(yán)重的安全威脅，亞信安全技術(shù)總監(jiān)蔡昇欽建議:”客戶在回復(fù)郵件前，請(qǐng)務(wù)必確認(rèn)郵件的真實(shí)性，即使郵件聲明由公司高層管理者發(fā)來(lái)，也不要輕易相信，而是應(yīng)仔細(xì)核實(shí)郵件內(nèi)容以及郵件地址的真實(shí)性，必要的時(shí)候可以用電話等方式進(jìn)行確認(rèn)。如果該郵件的“mail from”與“reply-to”是不同的郵箱地址，那就務(wù)必提高警覺(jué)，因?yàn)樵撪]件很有可能是一封詐騙郵件。”

據(jù)了解，亞信安全Email信譽(yù)評(píng)等(ERS, Email Reputation Services)技術(shù)的團(tuán)隊(duì)已更新了病毒碼，可以偵測(cè)此類型攻擊，企業(yè)用戶可以部署具備ERS技術(shù)的亞信安全“郵件安全解決方案”來(lái)進(jìn)行防范。如用戶發(fā)現(xiàn)任何攻擊郵件未被偵測(cè)，請(qǐng)立即向亞信安全技術(shù)響應(yīng)中心匯報(bào)。